無料コンテンツと有料コンテンツ(ユーザーがログインしている場合)を提供するウェブサイトの場合、SSL(すなわちhttps)で動作する必要がありますか?ログインしたユーザーのSSL?
登録ページ以外のページには、Facebookのようなコンテンツ、サードパーティのバナーなどがあることがあります。これらのページをさまざまなブラウザで表示すると、ページが完全ではないという警告が表示されますコンテンツの一部が保護されていないため安全です。
標準がありますか?その理由は何ですか?
私はFacebookがHTTPのために付き合えながら...
ほとんどの認証方法(通常はURLベースまたはHTTP BasicのCookieベースのセッションID)が認証を送信するため、ユーザー認証と一度認証されたユーザーのWebサイトでHTTPSを使用することを検討する必要があります。トークン(例えば、クッキー)は、そうでなければクリアされる。したがって、盗聴者は、セッションID /クッキーを再利用することによって、認証されたユーザーを偽装する可能性があります。この種の攻撃は長い間行われてきましたが、Firesheepのようなツールは、保護されていない(おそらくパブリックな)WiFiネットワークの使用と関連して残念なことにこれを非常に実用的なものにしています。
2番目の質問については、混在コンテンツ、つまりHTTPサイトからコンテンツを埋め込んだHTTPSで配信されるページについて警告が表示されます。保護されたCookieを使用している場合、認証トークン(Cookie内)はページに埋め込まれた保護されていないコンテンツに漏れてはいけません...しかし、そのことを知ることは不可能です。警告を無視するようにユーザーに教えることは、一般に悪い習慣です。 コンテンツの場合は、HTTPSをオンにします。それが他の誰かのもので、HTTPSアクセスがない場合、それはやや難解です。 1つの解決策は、あなたのウェブサイトを通じてコンテンツを中継することです(ただし、リンクなどを書き直す必要があります)。
いつものように、リスクアセスメントの問題です。実際には、FacebookをHTTPS経由で使用することができます(https://と明示的に入力します)。 posting on Facebook can have you sent to prison以降、誰でもあなたを偽装することは望ましくありません。
一部のサイトでHTTPSが有効になっていないため、isn't necessarily true(この記事でも詳しく説明しているように、サーバー名の表示と共有ホスティングのXPの互換性も問題です)です。
私は、登録ページ自体も保護する必要があると付け加えたいと思います。 –
@Eugene、はい、もちろんです。 – Bruno
おかげさまで、基本的にhttpsを守るのはいいですし、ユーザー/ブラウザメーカーは警告に対処するだけです。 :) – davidkomer
SSLは、計算コストが高く、たとえば、そのGmailは、HTTPSを介してそれを維持し、気づきました。 SSLを使用してページを表示すると、サイトが少し遅くなります(特にトラフィックが多い場合)。
Gmailはすべてのメールコンテンツが機密であると考えているため、SSLの下ですべてのサービスを提供しています。
基本的には、電子メールはFacebookよりも安全である必要があると考えています。
http://www.imperialviolet.org/2011/02/06/stillinexpensive.html – Bruno
@ブーノ:偉大な記事、なぜあなたの答えにリンクされていないのだろうか?-) –
これは間違っています。 GmailとFacebookがSSLをどこからでも利用する理由は、誰かがあなたの認証Cookieを盗聴して偽装することができないからです。これには本当に簡単なツールがいくつかあります。例えば。 [firesheep] [1] [1]:http:// codebutler。com/firesheep – imichaelmiers
ところで、この警告は、証明書が無効であるとは言っていません。ページが完全に安全ではないと言っています。 – SLaks
SLAKsありがとうございました。https://tjandpals.comをご覧になり、可能な限り最高の警告が表示されたら教えてください。 – davidkomer
警告が表示されません。 – SLaks